18.6. Configuración de un cliente Kerberos 5

La configuración de un cliente de Kerberos 5 no es tan complicada como la de un servidor. Lo que tiene que hacer es instalar los paquetes del cliente y proveer a cada cliente con un archivo de configuración krb5.conf válido. Las versiones kerberizadas de rsh y rlogin también requerirán algunos cambios en la configuración.

  1. Asegúrese que la sincronización sea correcta entre el cliente de Kerberos y el KDC. Consulte la Sección 18.5 para mayor información. Además, verifique que el DNS esté funcionando correctamente en el cliente Kerberos antes de configurar los programas cliente de Kerberos.

  2. Instale los paquetes krb5-libs y krb5-workstation en todas las máquinas de clientes. Tiene que dar un archivo válido de /etc/krb5.conf para cada cliente; normalmente es el mismo archivo krb5.conf usado por el KDC.

  3. Antes de que una estación de trabajo del reino permita a los usuarios conectarse usando los comandos kerberizados rsh y rlogin, esa estación de trabajo tendrá que tener instalado el paquete xinetd y tener su propio host principal en la base de datos Kerberos. Los programas del servidor kshd y klogind también necesitan el acceso a las llaves para sus principal de servicios.

    Usando el comando kadmin, añada un host principal para la estación de trabajo en el KDC. La instancia en este caso será el nombre de laestación de trabajo. Puede usar la opción -randkey para el comando kadmin addprinc para crear el principal y asignarle una llave aleatoria:

    addprinc -randkey host/blah.example.com

    Ahora que se ha creado el principal, puede extraer las claves para la estación de trabajo ejecutando kadmin en la estación de trabajo, y usando el comando ktadd en kadmin:

    ktadd -k /etc/krb5.keytab host/blah.example.com
  4. Si desea utilizar otros servicios kerberizados de red, necesitará arrancarlos. Abajo hay una lista de algunos de los servicios kerberizados más comunes y las instrucciones para activarlos:

    • rsh y rlogin — Para usar las versiones kerberizadas de los comandos rsh y rlogin, deberá activar klogin, eklogin, y kshell.

    • Telnet — Para usar Telnet kerberizado, deberá activar krb5-telnet.

    • FTP — Para el acceso FTP, cree y extraiga una entrada para el principal con una raíz de ftp. Asegúrese de colocar la instancia al nombre de host del servidor FTP, luego active gssftp.

    • IMAP — El servidor IMAP incluido en el paquete imap que usa autentificación GSS-API del Kerberos 5 si encuentra la clave adecuada en /etc/krb5.keytab. La raíz para el principal debería ser imap.

    • CVS — Un servidor CVS kerberizado gserver usa un principal con una raíz de cvs y es idéntica al CVS pserver.

    Para detalles sobre como activar servicios, refiérase al capítulo titulado Control de acceso a los servicios en el Manual de administración del sistema de Red Hat Enterprise Linux.